INFORMATIVA (ex art. 14 del Regolamento UE 2016/679 — GDPR) 


CRIF S.p.A., con sede in Bologna, via M. Fantin n. 1-3, gestisce, in qualità di Titolare del trattamento, un 
sistema di informazioni creditizie (di seguito “SIC EURISC”) di tipo positivo e negativo in cui sono raccolte 
informazioni che attengono a richieste/rapporti riguardanti la concessione, nell'esercizio di un'attività 
commerciale o professionale, di un credito, di una dilazione di pagamento, di un pagamento differito, di un 
finanziamento o di altra facilitazione finanziaria, a prescindere dalla sussistenza di inadempimenti registrati 
nel sistema al momento del loro verificarsi. Il trattamento dei dati personali censiti nel SIC EURISC è 
disciplinato dalla normativa di cui al Regolamento UE 2016/2016 (“GDPR”), dal D.lgs. n. 196/2003 — Codice 
Privacy — così come modificato dal D.Lgs. n. 101/2018 recante disposizioni per l'adeguamento della normativa 
nazionale alle disposizioni del GDPR, dal Codice di Condotta per i sistemi informativi gestiti da soggetti privati 
in tema di crediti al consumo, affidabilità e puntualità nei pagamenti, approvato, con modificazioni, dal 
Garante per la protezione dei dati personali con Provvedimento n. 163 del 12 settembre 2019 (“Codice di 
Condotta”), dal D.L. n. 138/2011, convertito con legge n. 148/2011, dal D.Lgs. n. 141/2010 nonché da ogni 
altra normativa applicabile. 


Il trattamento dei dati personali effettuato nell’ambito del SIC EURISC riguarda i dati relativi a (tutti, 
congiuntamente, i “Dati”): 


a) interessati che chiedono di instaurare o sono parte di un rapporto o che, a seguito di operazioni di 
cessione di crediti o dilazioni di pagamento possono diventare parte di un rapporto col medesimo 
partecipante e soggetti coobbligati, anche in solido; 

b) interessati che agiscono nell’ambito della loro attività imprenditoriale o professionale che chiedono 
di instaurare o sono parte o che, a seguito di operazioni di cessione di crediti, possono divenire parte 
di un rapporto con il medesimo partecipante e soggetti coobbligati, anche in solido; 


c) interessati che rivestono la qualifica di esponente aziendale o partecipante al capitale di una società 
e/o ente, che è parte di una richiesta/rapporto; 
d) soggetti aventi un collegamento di tipo giuridico o economico con quelli di cui alla lettera b) che 


precede, sempre che i dati personali cui il partecipante/accedente intende accedere, risultino 
necessari per il perseguimento delle finalità di cui al Codice di Condotta relativamente ai soggetti di 
cui alla stessa lettera b). In tali casi la posizione del soggetto collegato all’interno del SIC EURISC non 
subisce comunque alcuna modificazione in virtù delle vicende relative al soggetto a cui è riferito in 
via principale il rapporto. 


In forza di un contratto o di un accordo con CRIF S.p.A., le banche (comunitarie ed extracomunitarie), società 
finanziarie, intermediari finanziari che svolgono attività regolamentata dal Testo Unico Bancario, soggetti 
autorizzati che svolgono attività di factoring, soggetti appartenenti a gruppi bancari e finanziari, altri soggetti 
privati che, nell’esercizio di attività commerciale o professionale, concedono dilazioni di pagamento ovvero 
svolgono attività di leasing (anche operativo) o attività di noleggio a lungo termine, nonché attività di 
gestione di piattaforme digitali per prestiti tra privati (di seguito “Partecipanti”) contribuiscono, su base 
mensile e in maniera sistematica, tali Dati. 


In particolare, le categorie di Dati trattati all’interno del SIC EURISC aggiornati periodicamente con 
informazioni acquisite nel corso del rapporto, sono: 


a) dati identificativi, anagrafici e sociodemografici (quali, ad esempio: codice fiscale, partita Iva, dati di 
contatto, documenti di identità, tessera sanitaria, codice Iban, dati relativi alla occupazione/professione, al 
reddito, al sesso, all’età, alla residenza/domicilio, allo stato civile, al nucleo familiare); 


b) dati relativi alla richiesta/rapporto, descrittivi, in particolare, della tipologia di contratto (es. prestito 
personale, mutuo ipotecario, carte rateali e a saldo, affidamento revolving, etc.), dell'importo dovuto, delle 


modalità di pagamento e dello stato della richiesta o dell'esecuzione del contratto (es. finanziamento 
rinunciato dall'interessato, rifiutato dall’ente, finanziamento accordato, finanziamento estinto, etc.); 


c) dati di tipo contabile, relativi, in particolare, agli utilizzi o ai pagamenti, al loro andamento periodico, 
all'esposizione debitoria anche residua e alla sintesi dello stato contabile del rapporto (es. importo e numero 
delle rate dei finanziamenti rateali; importo addebitato e/o utilizzato sulla carta di credito; eventuale 
informazione sullo stato del finanziamento fornita dall’ente partecipante indicativa di un comportamento più 
o meno rischioso da parte dell'interessato — ad esempio: incaglio nei pagamenti, passaggio a sofferenza, 
passaggio a perdita, cessione a società di recupero crediti, comportamento fraudolento sulla carta di credito 
da parte dell’interessato, blocco della carta di credito per morosità da parte dell’interessato, contestazione 
da parte dell'interessato dell’addebito effettuato dall’ente partecipante sulla carta di credito, etc.); 


d) dati relativi al contenzioso e ad attività di recupero del credito, alla cessione del credito o a eccezionali 
vicende che incidono sulla situazione soggettiva o patrimoniale degli interessati. 


Ai sensi del Codice di Condotta, tali Dati, possono essere consultati, per le finalità nel medesimo stabilite e 
nel seguito riportate, anche da ulteriori soggetti quali, attualmente, in forza dell’articolo 6-bis, del decreto- 
legge 13 agosto 2011, n. 138 convertito con la legge 14 settembre 2011, n. 148 e del vigente articolo 30-ter 
del decreto legislativo 13 agosto 2010, n. 141 (come successivamente modificato) i fornitori di servizi di 
comunicazione elettronica e i fornitori di servizi interattivi associati o di servizi di accesso condizionato (tra 
cui, quindi, le società telefoniche), le imprese di assicurazione, i soggetti autorizzati a svolgere le attività di 
vendita a clienti finali di energia elettrica e di gas naturale ai sensi della normativa (cosiddetti “Accedenti”). 


Il trattamento dei Dati contenuti nel SIC EURISC è effettuato esclusivamente per finalità connesse alla 
valutazione, all'assunzione o alla gestione di un rischio di credito, alla valutazione dell’affidabilità e della 
puntualità nei pagamenti dell’interessato. Rientrano in tali finalità la prevenzione del rischio di frodi e del 
furto di identità. 


| Dati sono trattati con modalità di organizzazione, raffronto ed elaborazione necessarie per il perseguimento 
delle finalità sopra descritte. Tali elaborazioni sono realizzate utilizzando strumenti informatici, telematici, e 
manuali che garantiscono la sicurezza e riservatezza delle informazioni creditizie trattate. | Dati contenuti nel 
SIC EURISC sono trattati anche mediante trattamenti o processi decisionali automatizzati di credit scoring che 
utilizzano diverse tipologie di fattori (a titolo esemplificativo e non esaustivo: numero e caratteristiche dei 
rapporti di credito in essere, andamento e storia dei pagamenti dei rapporti in essere o estinti, eventuale 
presenza e caratteristiche delle nuove richieste di credito, storia dei rapporti di credito estinti, etc.) che 
consentono di ottenere, attraverso l'applicazione di metodi e modelli statistici, risultati espressi in forma di 
giudizi sintetici, indicatori numerici o punteggi, diretti a fornire una rappresentazione in termini predittivi o 
probabilistici, del profilo di rischio, affidabilità o puntualità nei pagamenti dell’interessato. Si precisa che 
rispetto a tali trattamenti e sistemi di credit scoring CRIF S.p.A. non adotta alcuna decisione in grado di 
incidere su diritti e libertà degli interessati limitandosi a supportare i Partecipanti ed Accedenti, fornendo agli 
stessi le informazioni tratte dal SIC EURISC ed i suddetti giudizi sintetici. Le valutazioni di cui alle predette 
finalità sono effettuate esclusivamente dai Partecipanti/Accedenti che possono essere in possesso di altre 
informazioni aggiuntive e che decidono sulla base di proprie scelte fondate su criteri e logiche di mercato 
insindacabili da parte di CRIF S.p.A.. | Dati sono comunicati ai Partecipanti e agli Accedenti al SIC EURISC 
mediante consultazione della relativa banca dati. | Dati in questione possono essere conosciuti anche dai 
dipendenti e collaboratori di CRIF S.p.A. specificatamente autorizzati a trattarli per il perseguimento delle 
finalità sopraindicate ai sensi dell’articolo 29 del GDPR. Il trattamento dei dati personali da parte del Titolare 
del Trattamento, dei Partecipanti e degli Accedenti, secondo i termini e le condizioni stabilite nel Codice di 
Condotta risulta lecito ai sensi dell’art. 6 comma 1 lett. f) del GDPR in quanto è necessario per il 
perseguimento di legittimi interessi dei Partecipanti e degli Accedenti all’utilizzo del SIC EURISC per le finalità 
di cui al Codice di Condotta. Pertanto, non è necessario acquisire il consenso dell’interessato. Costituiscono 


legittimi interessi: la corretta misurazione del merito e del rischio creditizio, la corretta valutazione 
dell’affidabilità e della puntualità dei pagamenti dell'interessato, la prevenzione del rischio di frode, ivi 
inclusa la prevenzione del rischio del furto di identità. | dati personali censiti nel SIC EURISC sono conservati 


come stabilito dal Codice di Condotta per il tempo indicato nel seguente schema riassuntivo: 


Dati personali riferiti a richieste, comunicati da 
partecipati 


Per il tempo necessario all'istruttoria, comunque 
non oltre 180 giorni dalla data di presentazione 
delle richieste 


Dati personali relativi alla richiesta cui l'interessato 
ha rinunciato o che non è stata accolta 


non oltre 90 giorni. dalla data del loro 
aggiornamento (mensile) con l'esito della richiesta 


Le informazioni di tipo negativo relative a ritardi 
nei pagamenti successivamente regolarizzati 


12 mesi dalla data di registrazione dei dati relativi 
alla regolarizzazione dei ritardi non superiori a due 
rate o mesi; 


24 mesi dalla data di regolarizzazione di ritardi 
superiori a due rate o mesi. 

Decorsi i termini, i dati vengono cancellati salvo che 
nel mentre non siano registrati dati relativi ad 
ulteriori ritardi o inadempimenti 


Dati relativi alla regolarizzazione di inadempimenti 
avvenuta dopo la cessione del credito ad un 
soggetto che non partecipa al sistema 


senza ritardo, purché il partecipante ne abbia avuto 
conoscenza 


Le informazioni creditizie di tipo negativo relative 
ad inadempimenti non successivamente 
regolarizzati 


non oltre 36 mesi dalla data di scadenza 


contrattuale 


dalla data in cui è stato necessario aggiornare il 
dato, comunque massimo fino a 60 mesi dalla data 
di scadenza del rapporto, in caso di altre vicende 
rilevanti in relazione al pagamento 


Le informazioni creditizie di tipo positivo relative 
ad un rapporto che si è esaurito con estinzione di 
ogni obbligazione pecuniaria 


non oltre 60 mesi dalla data di cessazione del 
rapporto o di scadenza del contratto oppure dal 


primo aggiornamento effettuato nel mese 
successivo a tali date. 
conservazione ulteriore nel sistema se in 


quest'ultimo risultino presenti, in relazione ad altri 
rapporti di credito riferiti al medesimo interessato, 
informazioni creditizie di tipo negativo concernenti 
ritardi od inadempimenti non regolarizzati 


I dati relativi al primo ritardo sono utilizzati e resi 
accessibili agli altri partecipanti 


decorsi 60 giorni.: 

a) dall'aggiornamento mensile; 

b) in caso di mancato pagamento di almeno due rate 
mensili consecutive; 

c) quando il ritardo si riferisce ad una delle ultime 
due scadenze di pagamento. | dati sono resi 
accessibili dopo l'aggiornamento mensile relativo 
alla seconda rata consecutivamente non pagata. 


Decorsi i termini di conservazione di cui sopra, prima dell’eliminazione dei dati dal SIC, CRIF S.p.A. può 
trasporre gli stessi su altro supporto, non direttamente accessibile dai Partecipanti e dagli Accedenti, 
conservarli per un periodo non superiore ai 10 anni (decorrenti dalla scadenza dei tempi di conservazione di 
cui alla precedente tabella) e trattarli solo per le finalità indicate dal Codice di Condotta nell'allegato 2 “tempi 
di conservazione” al paragrafo 8 ( per adempiere ad obblighi di legge, per esigenze di difesa di un proprio 
diritto, perla verifica anche comparativa della predittività dei dati del SIC EURISC, per lo sviluppo e la verifica 


dei modelli di cui all’art. 10 del Codice di Condotta, per elaborazioni in forma aggregata, anonima o 
pseudonima per esigenze statistiche normative/regolamentari e di sviluppo di prodotti o servizi dei 
Partecipanti / Accedenti, per fornire informazioni alle Autorità di vigilanza). 


CRIF S.p.A. aderisce ad un circuito internazionale di sistemi di informazioni creditizie operanti in vari paesi 
europei e fuori dell'Area Economica Europea e, pertanto, i dati trattati potranno essere comunicati 
(sussistendo tutti i presupposti di legge) ad altre società, anche estere, che operano — nel rispetto della 
legislazione del loro paese — come autonomi gestori dei suddetti sistemi di informazioni creditizie e quindi 
perseguono le medesime finalità di trattamento del sistema gestito da CRIF S.p.A. Questi accordi (denominati 
cross border data exchange) sono anche funzionali a facilitare l’accesso ai finanziatori di altri Stati al sistema 
di informazioni creditizie EURISC in ottemperanza alle disposizioni dell’articolo 125 del Testo Unico Bancario 
— nonché, reciprocamente, a facilitare ai finanziatori italiani l’accesso a banche dati analoghe presenti in altri 
Stati. Elenco dei sistemi esteri convenzionati: 


Ragione sociale Sito Internet 

Schufa Holding AG (Germania) https://www.schufa.de 
BKR — Bureau Krediet Registratie (Olanda) https://www.bkr.nl 
KSV1870 (Austria) https://www.ksv.at 
Crif A.G. (Svizzera) https://www.crif.ch 


In relazione ai Dati registrati nel SIC EURISC ed ai presupposti di legittimazione del trattamento degli stessi, 
gli interessati potranno, ai sensi di quanto previsto dal GDPR, esercitare tutti i diritti agli stessi riconosciuti e 
previsti dagli articoli da 15 a 22 del GDPR, quale ad esempio quello di ottenere l'accesso ai propri dati 
personali, chiederne la rettifica, la cancellazione, la limitazione del trattamento o di opporsi al loro 
trattamento. Non è possibile esercitare il cd. diritto alla portabilità (art. 20 GDPR) dei dati personali in quanto 
non ne sussistono i presupposti. Gli interessati potranno, altresì, proporre reclamo al Garante per la 
Protezione dei dati personali, seguendo le istruzioni al seguente link: 


http://www.garanteprivacy.it/web/guest/home/docweb/-/docwebdisplay/docweb/4535524. 


Per l'esercizio dei diritti agli stessi riconosciuti, gli interessati possono rivolgendosi all’ Ufficio Relazioni con il 
Pubblico, via Zanardi 41, 40131 — Bologna (fax: 051/6458940 — tel: 051/6458900, sito internet: 
www.consumatori.crif.com). 


Inoltre, per qualsiasi ulteriore informazione inerente al trattamento dei dati personali trattati da CRIF S.p.A. 
gli interessati potranno rivolgersi al Responsabile della protezione dei dati nominato da CRIF S.p.A. ai seguenti 
recapiti: email: dirprivacy@crif.com; pec: crif@pec.crif.com. 


| Responsabili del trattamento dei dati contenuti nel sistema di informazioni creditizie EURISC sono: 
e Postel S.p.A. con sede legale in Via G. Massaia, 31 — 00154 Roma; 
e DataBank S.p.A. con sede legale in Via Patrioti, 21 — 29100 Piacenza; 


Si intende precisare che i Responsabili sopra indicati non si occupano di evadere le richieste di riscontro agli 
interessati. Tale attività è svolta esclusivamente da CRIF S.p.A., in qualità di Titolare del trattamento. 


